Francisco Monserrat es Ingeniero en Informática por la Universidad de Murcia, representa a RedIRIS en varios foros como CSIRT.ES o FIRST y es especialista en Ciberseguridad desde 1999.
¿Cuáles son los incidentes más destacados en materia de ciberseguridad que reportan las universidades españolas y centros de investigación del país? ¿Y qué medidas de ciberseguridad ves más relevantes en ese contexto?
Hay que tener en cuenta que la mayoría de las instituciones afiliadas están muy expuestas ya que por su naturaleza de educación e investigación son redes muy abiertas y con una gran movilidad de sus usuarios, muchas veces con necesidades de conexión mayores.
Al igual que para otras organizaciones, los incidentes que más impacto han tenido en nuestras instituciones afiliadas han sido los problemas de seguridad derivados de los ataques de ramsonware, que, aunque han sido contenidos en muchas ocasiones, en otros han afectado seriamente a los servicios que prestaban, requiriendo un esfuerzo muy importante para ponerlos de nuevo en marcha.
No hay un “escudo de plata” que proteja de forma instantánea a una organización, el Esquema Nacional de Seguridad (ENS) está permitiendo que la concienciación en seguridad informática empiece a calar en la dirección de las instituciones, dejando ser un aspecto solamente técnico para ser una responsabilidad de toda la organización, necesitando involucrar y concienciar a toda la organización.
A partir de esta toma de concienciación por parte de la dirección, las medidas técnicas y organizativas necesarias se van implementando de acuerdo con sus posibilidades y desde RedIRIS estamos ahí para ayudarles en todo los posible.
Desde la perspectiva de tu larga trayectoria en este ámbito, ¿cómo han ido evolucionando con el tiempo los servicios de ciberseguridad de RedIRIS para mejorar su propia protección y la de sus instituciones afiliadas?
RedIRIS fue consciente de la necesidad tanto de proteger su infraestructura como de apoyar a sus instituciones desde el principio, ya en 1995 se creó el IRIS-CERT con personal dedicado que fue, junto con el esCERT-UPC, de los primeros equipos de seguridad españoles.
Durante mucho tiempo RedIRIS fue un referente en España, manteniendo varias listas de seguridad en español abiertas a todo el mundo como CERT-ES y MAIL-PGP, organizando el primer reto de análisis forense en español y en general, actuó como punto de coordinación “de facto” para incidentes en España, fomentando la creación de diversos foros de colaboración como el Foro Abuses o posteriormente el Foro CSIRT y ayudando también a diversos equipos españoles.
Inicialmente RedIRIS fue sobre todo un punto de coordinación entre las instituciones afiliadas y el exterior a nivel de incidentes de seguridad, (el servicio IRIS-CERT gestionado actualmente todavía por INCIBE ) , con posterioridad cuando las instituciones empezaron a tener personal dedicado a la seguridad, en RedIRIS se hizo un gran esfuerzo por proteger la infraestructura troncal de esta red nacional y sus instituciones conectadas ante ataques de denegación de servicio (DDOS), mediante la actual plataforma EGIDA y en ofrecer servicios centralizados como la plataforma antispam (Lavadora).
En la actualidad el principal esfuerzo pasa por evolucionar el servicio IRIS-CERT a un SOC integrado en la Red Nacional de SOC que combine en una sola plataforma, tanto la notificación de incidentes a CCN-CERT como el resto de servicios de seguridad que ofrecemos.
Como veterano de foros internacionales como TI o FIRST ¿Qué valor crees que tiene la colaboración internacional en este ámbito?
FIRST fue el primer foro de equipos de seguridad, creado en 1991 cuando todavía internet estaba en sus comienzos, nos podemos remontar al primer incidente de seguridad, el famoso Gusano de Morris, para entender la necesidad de colaborar de cara a alertar a otras organizaciones de los problemas de seguridad, en un entorno donde todavía no había conectividad global y la información se difundía muy lentamente.
FIRST ha ido creciendo, teniendo un alcance global tanto a nivel geográfico (hay más de 100 países que tienen un equipo de seguridad en FIRST) como en los diversos sectores y áreas que son cubiertos, tanto fabricantes como integradores, CSIRT nacionales , de sectores críticos, etc.)
Por otro lado Trusted Introduced / TI surgió como evolución de las iniciativas de seguridad de las redes académicas europeas (Terena en ese momento), evolución a su vez de otro proyecto anterior llamado EuroCert. En este entorno ya había contactos y colaboración previa, pero sobre todo se trataba de tener unos criterios mínimos a la hora de integrar otros equipos de seguridad y normalizar un poco las redes de contactos informales que funcionaban en un entorno que ha ido creciendo.
Por todo esto la colaboración con otros equipos de seguridad es muy importante, en primer lugar, porque los incidentes de seguridad no son un suceso aislado dentro de una organización, sino que muchas veces involucran a sistemas que están fuera de la organización, en otro país o incluso continente, además, la composición heterogénea de estos foros hace que sea posible establecer contactos con equipos muy distintos lo que es muy útil después para actuar en incidentes de seguridad complejos.
Recientemente GÉANT ha vuelto a organizar de forma presencial su evento de gestión de crisis de ciberseguridad CLAW ¿Qué relevancia crees que tienen este tipo de simulaciones?
Es muy importante estar preparado ante un problema serio , ya sea de seguridad informática o de cualquier otra índole y un aspecto muy importante de esta preparación es no solo tener un plan de cómo actuar en estas situaciones sino también el ejercitar y comprobar que estos planes de actuación se ponen a prueba de forma periódica ante diversas situaciones.
Por este motivo es muy relevante la labor que está realizando GÉANT fomentando este tipo de ejercicios incluso antes de la pandemia, ya que siempre ha tenido un enfoque global, involucrando no solamente al aspecto “técnico” de las organizaciones (CSIRT, SOC, NOC, etc.) sino también a la dirección y departamentos de comunicación y/o redes sociales , de forma que se tenga una visión más amplia de cómo actuar ante estas situaciones.
Al igual que en la pregunta anterior es muy importante para los asistentes el hecho de conocer cómo en distintas organizaciones (los ejercicios están abiertos tanto a las NRENS miembros de GÉANT como a las organizaciones conectadas a través de estas) se preparan ante estas situaciones, conociendo de primera mano experiencias prácticas ante situaciones de crisis.
Con el trascurso de los años GÉANT ha elaborado una serie de materiales, situados en un entorno imaginado, pero muy similar al del conjunto de redes europeas, que permite que estos ejercicios puedan ser replicados , como hizo RedIRIS en los Grupos de Trabajo de 2018 en Valladolid, a escala más reducida, de forma que se puedan replicar estos ejercicios adaptados a diversas situaciones.
RedIRIS, por su parte, ha organizado recientemente su XII Foro de Ciberseguridad en Barcelona con la colaboración de UPF y CSUC. ¿Qué valoración haces del evento?
En primer lugar, agradecer a la UPF y al CSUC su ayuda para la realización de este Foro de Ciberseguridad y a todos los asistentes tanto presenciales como en remoto su asistencia al mismo.
Ha sido el primer evento presencial realizado en RedIRIS tras la pandemia, donde además hemos tenido un componente “remoto” que era muy habitual en ediciones anteriores.
Aunque hemos tenido algunos retrasos en la organización del evento creo que los asistentes están muy satisfechos tanto por los contenidos expuestos como por las distintas iniciativas y servicios de RedIRIS que se presentaron durante las jornadas.
Ahora en los próximos meses toca en RedIRIS seguir avanzando en estos proyectos para ofrecer estos servicios a las instituciones afiliadas.
Sabemos que también tienes una importante colección de ordenadores antiguos. Cuéntanos por favor algo sobre ese interesante tema.
Es una afición que me viene de antiguo, empezó con el primer ordenador que tenía (un Sinclair Spectrum) y poco a poco empezó a crecer de forma que antes de que me diera cuenta el piso donde estaban los equipos estaba en peligro de derrumbe, ya en 2013 se organizó una exposición con parte de estos equipos, aunque por desgracia no pudo ser permanente.
Bromas aparte es significativo que con la rápida evolución de internet no somos conscientes de cómo el equipamiento que da soporte a Internet ha ido cambiando; Desde los servidores “armario” centralizados se pasaron a equipos “clónicos” que después se convirtieron en appliances que se colocaban en armarios rack cada vez más organizados y estandarizados, y aún así los distintos fabricantes han ido intentando dar su toque de “color” al equipamiento.
Espero que pueda haber alguna otra ocasión para poder mostrar con más detenimiento la colección.